Tại sao phải dùng Terminal services
Terminal Service Remote Application là một tính năng mới trên Windows Server 2008 Các chương trình ứng dụng sẽ được cài đặt sẵn trên Windows Server 2008, các máy trạm tuy không cài đặt chương trình ứng dụng, nhưng vẫn có thể khai thác các chương trình ứng dụng đó trên máy chủ thông qua Terminal Service Terminal Service có đặc điểm như sau:
-Sự truy cập liền mạch Người dùng truy cập vào các ứng dụng hosting từ xa một cách liền mach như các ứng dụng đang được cài đặt cục bộ Các ứng dụng hosting có thể cư trú trên các ứng dụng được cài đặt cục bộ.
- Quản lý ứng dụng tập trung, dễ dàng, và đơn giản.
-Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những công ty không có nhân viên IT chuyên nghiệp tại các văn phòng chi nhánh.
-Sử dụng các ứng dụng không tương thích cùng với nhau trong cùng 1 hệ thống
- Các máy trạm không cần phải có cấu hình phần cứng mạnh và doanh nghiệp không phải tốn nhiều chi phí về bản quyền phần mềm khi sử dụng dịch vụ này. Tuy nhiên, doanh nghiệp vẫn phải mất chi phí bản quyền cho CAL (Client Access License), và chi phí này vẫn thấp, có thể chấp nhận được
- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.0 trở lên.
Các hình thức máy trạm kết nối đến máy chủ
- Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng dụng trên máy chủ:
Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web
Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1. RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XP Professional Service Pack 3.
Sử dụng Network Access: Máy chủ tạo sẵn file rdp (mỗi chương trình ứng dụng tương ứng 1 file rdp) và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để khai thác chương trình ứng dụng trên máy chủ.
Sử dụng Network Access: Máy chủ tạo sẵn file msi (mỗi chương trình ứng dụng tương ứng 1 file msi)và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để cài đặt các shortcut liên kết đến chương trình ứng dụng trên máy chủ Các shortcut này được cài đặt trong Start menu của máy trạm, cụ thể là mục Remote Application Máy trạm chạy các shortcut đó để khai thác chương trình ứng dụng trên máy chủ.
Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máy trạm.
Cài đặt và cấu hình Terminal Service
Cài đặt Terminal Services
Start –> Programs –> Administrative Tools –> Server Manager
Chuột phải Roles –> Add Roles
Hộp thoại Instruction to Terminal Services –> Next
Application Compatibility để mặc định –>Next
Authentication Method –> Chọn Do Not Require Network Level
Licensing Mode –> Configure later –> Next
Add 2 user sv1 và sv2 vào để có thể access the terminal server
Confirmation Installation –> chọn Install Sau khi cài đặt xong thì chọn Restart –
Kiểm tra Remote Connection đã được enable
Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote
Thêm các chương trình ứng dụng RemoteApp
- Start –> Program –> Administrative Tools ->Terminal Services ->TS RemoteApp Manager.
- Menu Action –> Add RemoteApp Programs.
Menu Action –> Add RemoteApp Programs
Choose Program to add to RemoteApp Program list –> Chọn các ứng dụng cho Client –> Next
Trong màn hình TS remote App –> Cuộn xuống cuối màn hình –> Phải chuột vào application và chọn Create Windows Installer Package
Màn hình Welcome –> Next Để mặc định các thông số cấu hình –> Next
Chia sẻ folder chứa file ứng dụng
C:\Program File –> Chuột phải lên Packaged Program –> Properties –> Share Folder –> Everyone Allow-Read –> OK
Kiểm tra trên máy client
Start –> Run –> Nhập địa chỉ ip Remote Server
Hộp thoại yêu cầu khai báo username/password đăng nhập –> Nhập sv1/123 –> OK
Chọn ứng dụng cần dùng
Nhập vào user chứng thực –> OK
Quá trình kết nối diễn ra và Ứng dụng cần dùng sẽ mờ ra
4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access:
Cài đặt TS Web Access trên Terminal Server
- Server Manager –> Terminal Services –> Add Role Services.
Chọn TS Web Acess –> Next
Chọn Add Require Role Services Để các thông số mặc địnhàNextàChọn Install
Start –> Programs –> Administrative Tools –> Terminal Service –> TS RemoteApp Manager
Chuột phải các ứng dụng muốn hiển thị –> Chọn Show in TS Web Access
Kiểm tra trên Terminal Client
Mở Internet Explorer –> Khung Address nhập vào địa chỉ Terminal Server http:// 192.168.1.38/ts –> Enter
Hộp thoại khai báo username và password xuất hiện Nhập sv1/123
Sau khi đăng nhập thành công -> Lựa chọn các ứng dụng cần dùng
Bảo mật Terminal Services của Windows Server 2008
Sử dụng chứng thực Smart Cards
Sử dụng Smart Cards, người dùng không chỉ phải cung cấp các tiêu chuẩn đăng nhập hợp lệ mà còn phải có thể kết nối vật lý với thẻ thông minh đến thiết bị mà họ đang sử dụng như một thiết bị đầu cuối ở xa.
25 Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo một Group Policy Object để sử dụng cho Terminal Server Trong GPO, duyệt đến Computer
Configuration\Windows Settings\Security Settings\Local Policies\Security Options và kích hoạt thiết lập Interactive Logon: Require Smart Card Thêm vào đó bạn cũng cần phải kích hoạt Smart Cards để có thể chuyển hướng đến Terminal Server bằng cách tích vào hộp kiểm Smart Cards trên tab Local Resources của Remote Desktop Connection trên các máy trạm của người dùng.
Thực thi thẩm định mức mạng đối với tất cả máy khách
Network Level Authentication (NLA) là một tính năng được giới thiệu trong phiên bản 6.0 của Remote Desktop Connection Client, tính năng này cho phép người dùng nhập vào trước các tiêu chuẩn đăng nhập của họ để sẽ được hiển thị tại cửa sổ đăng nhập của Windows Server Windows Server 2008 cho phép chúng ta sử dụng tiện ích này và yêu cầu tất cả các máy khách đang kết nối để sử dụng nó.
26 Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, và các máy khách đang kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows
7) cũng như đang chạy Remote Desktop Connection 6.0 hoặc cao hơn Bạn có thể cấu hình Terminal Server của mình để yêu cầu các máy khách của nó sử dụng NLA bằng các cách sau:
Trong suốt quá trình cài đặt Terminal Services role ban đầu, khi bạn thấy màn hìnhSpecify Authentication Method for Terminal Server, chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.
Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phải vào kết nối terminal server đang được sử dụng bởi các máy khách và chọn properties, sau đó chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.
Tạo một Group Policy Object, duyệt đến Computer Configuration\
Administrative Templates\Windows Components\Terminal Services\ Terminal Server\Security, kích hoạt thiết lập Require user authentication for remote connections by using Network Level Authentication setting và sử dụng nó cho một OU gồm có terminal server.
Thay đổi cổng RDP mặc định
Mặc định, Terminal Server thường sử dụng cổng 3389 cho lưu lượng RDP Và một số hacker thành thạo trên thế giới đều biết được điều đó Chính vì vậy một trong những thay đổi nhanh nhất mà bạn có thể thực hiện đối với môi trường Terminal Server của mình để tránh những kẻ xâm nhập và thay đổi thỏa thuận cổng mặc định.
27 Để thay đổi cổng RDP mặc định cho Terminal Server, bạn hãy mở regedit và duyệt đến
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\
Terminal Server\WinStations\RDP-Tcp Tìm key PortNumber và thay thế giá trị hex 00000D3D (tương đương với 3389) thành một giá trị khác mà bạn muốn sử dụng.
Cách khác, bạn có thể thay đổi số cổng được sử dụng bởi Terminal Server của mình trên một kết nối cơ bản Vẫn sử dụng regedit, duyệt đến HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\WinStations\connection name Tiếp đó, tìm đến key PortNumber và thay thế giá trị hex bởi một giá trị khác mà bạn muốn.
Cần phải lưu ý rằng khi thay đổi thiết lập trên máy chủ này, tất cả các máy khách kết nối cần phải được bảo đảm rằng chúng đang kết nối đến Terminal Server với cổng mới đã được gắn thẻ trên địa chỉ IP của các máy chủ Cho ví dụ, việc kết nối đến Terminal Server với một địa chỉ IP trong là 192.168.0.1 có nghĩa hiện đang sử dụng cổng non-standard 8888 sẽ yêu cầu người dùng nhập 192.168.0.1:8888 vào Remote Desktop Connection.
In ấn dễ dàng và hạn chế máy in được chuyển hướng
Việc in ấn từ các thiết bị được kết nối nội bộ với các máy trạm client luôn là một yếu điểm của Terminal Services trước Windows Server 2008 Để thực hiện điều đó, bạn phải bảo đảm giống chính xác phiên bản của driver máy in đã được cài đặt trên cả máy chủ và máy khách, mặc dù vậy đôi khi sau đó vẫn không có sự làm việc Từ quan điểm bảo mật, chúng ta không bao giờ muốn cài đặt thêm nhiều driver vào hệ thống của mình ngoài những gì bắt buộc Mỗi một driver được cài đặt vào máy chủ đều có tiền ẩn khả năng mở rộng bề mặt tấn công của nó.
Windows Server 2008 đã giới thiệu một tính năng có tên Easy Print, tính năng này sẽ thay đổi triệt để cách kết nối nội bộ các máy in được quản lý Về bản chất, TS Easy Print là một driver phục vụ như một proxy để tất cả dữ liệu máy in được chuyển hướng qua Khi một máy khách in đến một thiết bị bằng driver Easy Print, các thiết lập dữ liệu và máy in sẽ được chuyển đổi thành định dạng phổ biến rồi gửi đến Terminal Server xử lý Thực hiện điều này, sau khi
28 kích in, hộp thoại máy in sẽ được khởi chạy từ máy khách, không trong terminal session Điều này có nghĩa rằng không driver nào đã được cài đặt cho Terminal Server để xử lý các công việc in từ các thiết bị in kết nối nội bộ. Để cấu hình Easy Print, bạn cần phải bảo đảm tất cả các thiết bị in được gắn nội bộ phải có các máy in logic được cấu hình trên các máy khách đã thiết lập để sử dụng driver của Easy Print Tính năng Easy Print được hỗ trợ bởi tất cả các máy khách Windows XP SP3, Windows Vista và Windows 7 đang chạy Remote Desktop Connection 6.1 hoặc mới hơn và NET Framework 3 SP1.
Khi đã cấu hình các thiết bị gắn nội bộ ở mức máy trạm, bạn cần bảo đảm rằng máy in duy nhất được chuyển hướng đến Terminal Server là máy in đang sử dụng TS Easy Print, thành phần được thiết lập như một máy in mặc định Bạn có thể thực hiện điều này bằng cách tạo một Group Policy Object và duyệt đến Computer Configuration\ Administrative Templates\Windows
Components\Terminal Services\Terminal Server\Printer Redirection , sau đó kích hoạt tùy chọn Redirect only the default client printer.
Hạn chế các tài khoản người dùng
Chúng ta cần phải biết rằng, khi một người dùng nào đó đang kết nối hay đang làm việc trực tiếp từ một máy chủ vốn đã có sự truy cập đến một vài thứ mà họ không cần đến, và để tạo một môi trường an toàn hơn, chúng ta cần phải hạn chế điều đó Đây không chỉ là biện pháp để bảo vệ các tiêu chuẩn của người dùng đang được thỏa hiệp mà còn bảo vệ người dùng chính đáng với những ý định không chính đáng Một số thứ mà chúng ta có thể thực hiện ở đây là:
Sử dụng các tài khoản cụ thể cho người dùng
Cấu hình bảo mật bổ sung bằng Group Policy
Nhiều cải tiến bảo mật cho các môi trường Terminal Server được cung cấp thông qua Group Policy Đây là một số ví dụ điển hình mà chúng tôi muốn giới thiệu cho các bạn.
- Hạn chế người dùng Terminal Services vào một Session từ xa
Trong hầu hết các trường hợp, một người dùng không cần khởi tạo nhiều session trên một Terminal Server Việc cho phép người dùng khởi tạo nhiều session sẽ làm cho môi trường của bạn có nhiều lỗ hổng cho tấn công từ chối dịch vụ (DoS), do các tiêu chuẩn của người dùng bị thỏa hiệp Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative
Templates\Windows Components\Terminal Services\Terminal
Server\Connections bên trong GPO của bạn.
- Không cho phép sự chuyển hướng drive
Trừ khi bạn có một nhu cầu nào đó thật cần thiết, khi đó mới cho phép người dùng truy cập vào các ổ đĩa nội bộ từ một Terminal Server session vì hành động này có thể tạo một kênh truyền thông không an toàn Với khả năng này, người dùng không chỉ copy dữ liệu vào một Terminal Server mà dữ liệu có thể chứa mã độc và có thể được thực thi trên máy chủ.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer
Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection bên trong GPO. Thiết lập hạn chế thời gian cho các Session bị hủy kết nối
Nhìn chung, chúng ta nên cho phép người dùng thoát khoải một session mà không cần đăng xuất hoàn toàn Vì khi ai đó có thể tăng điều khiển trên session này thì họ có thể sẽ truy cập vào phần dữ liệu nhạy cảm hoặc biết được răng họ đã được xác thực cho ứng dụng mạng khác Cách tốt nhất để khắc phục tình trạng này là thiết lập sự hạn chế về thời gian ở mức thấp để hủy kết nối các session Khi đến giới hạn thời gian, session sẽ bị đóng lại.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer
Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Session Time Limits bên trong GPO.
- Vô hiệu hóa bộ cài Windows
Chỉ các quản trị viên mới có quyền cài đặt các ứng dụng vào Terminal Server Trong hầu hết các trường hợp, không cho người dùng được phép cài đặt các ứng dụng nếu họ không đăng nhập với quyền quản trị viên Mặc dù vậy, nếu một số người dùng nào đó được cho là cần phải có hành động nâng đặc quyền thì bạn có thể hạn chế khả năng cài đặt một số chương trình bằng cách vô hiệu hóa Microsoft Windows Installer.
Có thể cấu hình thiết lập này bằng cách duyệt đến Computer
Configuration\Administrative Templates\Windows Components\Windows Installer bên trong GPO Cần lưu ý rằng bạn phải cấu hình thiết lập này là
Enabled thay cho Always Như vậy sẽ bảo đảm rằng bạn vẫn có thể publish các ứng dụng cho Terminal Server thông qua Group Policy Còn sử dụng tùy chọn Always sẽ không cho phép bạn thực hiện điều đó.
Mặc dù chúng ta (các quản trị viên) có cung cấp nhiều location riêng và công cho việc lưu trữ bảo mật dữ liệu nhưng một số người dùng của chúng ta vẫn tùy tiện lưu dữ liệu trên desktop của họ Tuy nhiên có một cách để tạo một bức tường bảo vệ dữ liệu cho họ đó là chúng ta có thể chuyển hướng (redirect) desktop của họ đến một location lưu trữ thích hợp trên một file server.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User
Configuration\Windows Settings\Folder Redirection bên trong GPO Desktop của người dùng là thư mục mà chúng ta có thể chuyển hướng.
- Chặn truy cập vào Control Panel
Cũng như với Microsoft Installer, người thông thường không nên truy cập vào Control Panel nói chung Mặc dù vậy, nếu những người nào đó cần phải có các đặc quyền quản trị viên để thực hiện một số thao tác thì bạn cũng có thể hạn chế sự truy cập của họ vào control panel bằng cách cấu hình thiết lập này.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User Configuration\
Administrative Templates\Control Panel bên trong GPO.
Các thiết lập log Microsoft khuyên dùng dưới đây:
Audit Account Logon Events - No Auditing
Audit Account Management - Audit Success and Failure
Audit Directory Services Access - No Auditing
Audit Logon Events - Audit Success and Failure
Audit Object Access - Audit Failure
Audit Policy Change - Audit Success and Failure
Audit Privilege Use - Audit Failure
Audit Process Tracking - Audit Failure
Audit System Events - Audit Success and Failure
Cùng với các thiết lập đó, bạn cũng có thể sử dụng log kết nối Connection Auditing bên trong Terminal Services Cách thức này sẽ cho phép bạn ghi lại
31 một vài mục cụ thể của Terminal Server Để xem và cấu hình các thiết lập này,bạn hãy mở Terminal Services Configuration snap-in, kích chuột phải vào kết nối mà bạn muốn kích hoạt thẩm định, sau đó kích Properties Vào tab Security,kích Advanced, đánh tên người dùng của tài khoản muốn kích hoạt ghi log Ở đây bạn có thể chọn một trong các tùy chọn được liệt kê sẵn.
TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER 1 Thiết lập Advanced Firewall
Giới thiệu
Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security Tường lửa mới này trong Windows có nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows Vista Các tính năng mới có trong tường lửa mới này về vấn đề bảo mật nâng cao gồm có:
Nhiều điều khiển truy cập đi vào
Nhiều điều khiển truy cập gửi đi
Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager.
Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là còn có cả sự thay đổi tên Các chính sách IPsec hiện được khai báo như các rule bảo mật kết nối (Connection Security Rules).
Kiểm tra chính sách tường lửa được cải thiện
Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật kết nối)
Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải thiện
Cấu hình Advanced FireWall
Chuẩn bị : 2 máy Windows Server 2008 R2
DC2 : turn off firewall, cài đặt IIS và tạo 1 trang wed với nội dung tùy ý.
B1 : DC1 truy cập vào trang wed nội bộ của DC2 và
DC1 đang tạo kết nối đến DC2 bằng 2 port 80 ( wed ) và
Thực hiên máy DC2 : cho phép truy cập wed nội bộ và Network Access vào DC2
B2 : Từ DC1 truy cập vào web DC2 : không được
Policy mở theo đường hướng dẫn trong hình chuột phải lên
B8 : Đặt tên rule là Allow wed Next
Allow wed đã được tạo.
B10 : Làm lần lượt tương tự từ B1- B9 để tạo thêm rule cho phép truy cập Network Access
- Ping trên DC2 : không được
- Truy cập thử trang wed của DC2 ( http://172.168.1 20 ) truy cập thành công.
- Truy cập qua DC2 bằng Network access ( \\172.168.1.20 ) thành công
Mở CMD nslookup vnexpress.net thấy kết quả trả về IP là: 111.65.248.132 Thực hiện trên máy DC2 cấm truy cập trang wed vnexpress.net có địa chỉ IP là 111.65.248.132
B3 : Chọn Browsechỉ đường hướng dẫn đến: C:\
Internet Explore\ iexplore.exe Next
B4 : khai báo các thông số :
- Which Local IP addresses does this rule match : any IP address
- Which Remote IP addresses does this rule match :these IP address
- Mở IE truy cập trang wed http://vnexpress.net không thể truy cập
Mở Outbound rule chuột phải lên Rule
Disable Rule mở IE truy cập http://vnexpress.net thành công.
IP SECURITY
IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/ hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực.
Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng
4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của
38 mô hình OSI Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
2.1.2 Cấu trúc bảo mật của IP SEC
Khi IPsec được triển khai, cấu trúc bảo mật của nó gồm:
(1) Sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền
(2) Cung cấp phương thức xác thực
(3) Thiết lập các thông số mã hoá.
Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP.
IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4 Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.
IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN.
IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều trong giao tiếp Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai mode này.
Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và phải chờ đợi rất lâu Một phần bở lý do tính phổ thông của no không cao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này.
IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:
1 Mã hoá quá trình truyền thông tin
2 Đảm bảo tính nguyên vẹn của dữ liệu
3 Phải được xác thực giữa các giao tiếp
4 Chống quá trình replay trong các phiên bảo mật.
Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode.
Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và/hoặc xác thực Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm) Transport và application layers thường được bảo mật bởi hàm băm (hash), và chúng không
39 thể chỉnh sửa (ví dụ như port number) Transport mode sử dụng trong tình huống giao tiếp host-to-host. Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T.
Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của router Tunnel mode được sử dụng trong giao tiếp network-to-network (hay giữa các routers với nhau), hoặc host-to-network và host-to-host trên internet.
- Cấu hình IP Sec cho tất cả các kết nối
- Cấu hình IP Sec cho kết nối được chỉ định
- Deploy connection Security Rules bằng GPO
Chuẩn bị : bài lab sử dụng 3 máy tính
- Cả 3 máy tắt filewall, kiểm tra đường truyền lệnh PING
2.2.1 Cấu hình IP Sec cho tất cả các kết nối : thực hiện trên DC2:
- Cài đặt network Monitor, Capture gói tin
B3 : Chọn I accept the terms in the Licence
B4 : Chọn I do not want to use Microsoft
B7 : Khởi động chương trình Network Monitor trên Desktop chọn
B10 : Giữ nguyên chương trình Network
Monitor , DC2 ra command line ping
B11 : Quay trở lại màn hình Network Monitor quan sát đã capture được gói tin PING
- Chọn gói tin ICMP chọn
PING đã bắt dầu bằng a, b, c, d
Cấu hình IP sec trên DC2 & DC3
B1 : Start run đánh lệnh MMC
Policies là Preshare key Next
B1 : Chuột phải lên Preshare key
B4 : Chọn This rule does not specify a tunnel
B19 : Chọn Do not allow unsecures communication
B23 : Chọn Use this string to protect the key exchange điền vào ô trống : khoaviet
B26 : Chuột phải lên Preshare Key
Capture mới và chọn Start
- Quan sát trên máy tính màn hình Network
Monitor gói tin Ping đã được mã hóa
2.2.2.Cấu hình IP Sec cho kết nối được chỉ định
B1 : Chuột phải lên policies Preshare
Destination address : A specific IP address or Subnet
Subnet : điền IP của DC3 OK
B6 : Mở Service trong administrative tools chuột phải lên IPsec Policy
Cấu hình để nhứng máy nào có Preshare key mới có thể tạo kết nối tới DC2 Trên cấu hình DC2 & DC3 xóa các Policies IP Sec đã tạo
run đánh lệnh Secpol.msc
Require authentication for inbuond and outbound connections
B9 : Đặt tên rule là Preshare Key
B10 : DC1 thử truy cập Network
B11 : DC3 thực hiện lại các thao tác từ B1 – B9 của DC2
Lưu ý : Preshare key phải giống với Preshare
Key đã khai báo trên DC2
Kiểm tra : DC3 truy cập Network
DC2 : truy cập thành công
THỰC THI DISTRIBUTED AD DS DEPLOYMENTS 1 Các thành phần Active directory
Thực thi Active directory
- Nâng cấp DC1 lên domain controller
- Thêm máy domain controller thứ 2
Mô hình IP bài LAB
Computer name DC1(Primary domain controller)
Nâng cấp DC1 lên domain controller tên miền brtvc.edu.vn (tham khảo QTM1)
Tạo child domain khoacntt.brtvc.edu.vn
Xây dựng máy DC5 thành Child Domain quản lý miền khoacntt.brtvc.edu.vn là miền con của brtvc.edu.vn
- Chọn Start > chọn Run > gõ lệnh: DCPROMO Tại cửa sổ “Operating
Tại cửa sổ “Choose a Deployment Configuration”, chọn mục Existing forest, chọn “Create a new domain in an existing forest”, chọn Next
- Tại cửa sổ “Network Credentials”, nhập vào thông tin tên miền tồn tại trong
Domain Forest, khai báo thông tin về tài khoản chứng thực, chọn Next
- Tại cửa sổ “Name the New Domain”, nhập vào thông tin về miền cha, thông tin về tên miền con, chọn Next
- Tại cửa sổ “Set Domain Function Level”, lựa chọn mức độ chức năng trên
- Tại cửa sổ “Select a Site”, chọn mục “Default First Site Name”, chọn Next
Tại cửa sổ “Additional Domain Controller Options”, chọn mục DNS Server, chọn Next
- Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next
- Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau đó chọn Next
Tại cửa sổ “Summary”, chọn Next
- Quá trình nâng cấp Windows Server 2008 thành Domain Controller diễn ra… Sau khi nâng cấp thành công, chọn Finish để khởi động lại hệ thống.
2.2 Thêm máy domain controller thứ 2
Dựng máy DC4 thành domain controller thứ 2 cho domain brtvc.edu.vn Khai báo IP máy DC4
Nhấn Start > Run :gõ lệnh DCPROMO, màn Hình “Welcome to the
Active Directory Domain Services Installation Wizard” xuất hiện, chọn Next:
Tại cửa sổ “Operating System Compability”, chọn Next
Tại cửa sổ “Choose a Deployment Configuration”, chọn mục “Existing forest”, chọn “Add a domain controller to an existing domain”, chọn Next:
Tại cửa sổ “Network Credentials”, nhập vào tên miền cần cho phép máy
DC4 gia nhập vào với chức năng Additional Domain Controller, chọn nút Set để nhập thông tin về tài khoản được phép cho máy tính DC4 gia nhập vào miền brtvc.edu.vn, chọn Next:
Tại cửa sổ “Select a Domain”, chọn tên miền sẽ gia nhập vào, chọn Next:
Tại cửa sổ “Select a Site”, chọn Site cần thiết, chọn Next:
Tại cửa sổ “Additional Domain Controller Options”, chọn mục 2 mục DNS
Server và Global Catalog, chọn Next:
Tại hộp thoại kế tiếp, Windows sẽ cảnh báo liên quan đến dịch vụ DNS, chọn
Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next:
Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau đó chọn Next:
Tại cửa sổ “Summary”, chọn Next:
Quá trình nâng cấp Windows Server 2008 thành Additional Domain
Sau khi nâng cấp thành công, chọn Finish để khởi động lại hệ thống:
Vào Start > Progams > Administrative Tools > Active Directory Users and
Computer ( Kiểm tra đồng bộ các đối tượng trên cả 2 Server )
2.3.Cấu hình DNS cho các domain
Cấu hình DNS tại DC1
Parent domain Delegation , child domain stubzone
- B1 : cấu hình DNS primary miền brtvc.edu.vn (xem LAB quản trị mạng 1)
- B2: Ủy quyền cho miền khoacntt.brtvc.edu.vn cho
Mở DNS tại tên miền brtvc.edu.vn > New Delegation, màn hình Welcome to the New Delegation Wizard xuấthiện, chọn Next.
Tại màn hình Name Servers, chọn nút Add để mô tả thông tin Name Server.
Tại hộp thoại New Name Server Record, nhập thông tin của Name Server quản lý miền con, nhấp OK, sau đó chọn Next.
Tại màn hình New Delegation Wizard, nhấp Finish để kết thúc.
Tạo Forwarder trên DC1 để nhờ DC5 phân giải hộ:
Nhấp phải trên DNS Server, chọn Properties, chọn tab Forwarders.
Tại hộp thoại Properties > Forwarder, chọn Edit để nhập vào địa chỉ IP của máy cần Forwarder
Cấu hình DNS tại DC5 (child domain)
- B1 : cấu hình DNS primary miền khoacntt.brtvc.edu.vn (xem LAB quản trị mạng 1)
- B2: tạo Stub zone brtvc.edu.vn mà parent domain đã ủy quyền
Nhập tên miền brtvc.edu.vn muốn stubzone
Nhập IP tên miền brtvc.edu.vn muốn stubzone -> next -> finish
OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles
Transfer FSMO Roles
Chuyển vai trò Roles từ domain controller này sang domain Controller khác khi máy server nắm giữ roles FSMO còn hoạt động
Thao tác transfer Roles bằng đồ họa
Bước 1 Cài đặt Additional Domain Controller từ primary domain controller đang nắm giữ FSMO roles.
Bước 2 Trên Additional Domain Controller, vào Active Directory Users and Computers Chuột phải lên domain cần chuyển đổi FSMO chọn Operations Master
Bước 3 Trong hộp thoại Operations Master, lần lượt chọn Change tại 3 tab RID, PDC, Infrastructure để tiến hành chuyển đổi FSMO.
Thao tác transfer Roles bằng dòng lệnh
Trước tiên kết nối vào máy Domain Controller đang nắm giữa roles mà ta muốn chuyển Mở command line nhập các dòng lệnh sau :
To summarize ntdsutil commands: ntdsutil (enter) ntdsutil: roles (enter) fsmo maintenance: connections (enter) server connections: connect to server (enter) server connections: quit (enter) fsmo maintenance: transfer schema master (enter)
2003 server:fsmo maintenance: transfer domain naming master (enter)
2008 server: fsmo maintenance: transfer naming master (enter) fsmo maintenance: transfer rid master (enter) fsmo maintenance: transfer pdc (enter) fsmo maintenance: transfer infrastructure master (enter) fsmo maintenance: quit (enter) ntdsutil: quit (enter)
Size FSMO Roles
Khi Domain Controller nắm vai trò FSMO ngừng hoạt động ta phải bình bầu roles cho domain controller khác đang hoạt động trong cùng một miền bằng cách sử dụng dòng lệnh sau :
Trước tiên kết nối vào máy Domain Controller mà ta muốn size quyền FSMO Mở command line nhập các dòng lệnh sau :
To summarize ntdsutil commands: ntdsutil (enter) ntdsutil: roles (enter) fsmo maintenance: connections (enter) server connections: connect to server (enter) server connections: quit (enter) fsmo maintenance: Seize schema master (enter)
2003 server:fsmo maintenance: Seize domain naming master (enter)
2008 server: fsmo maintenance: Seize naming master (enter) fsmo maintenance: Seize rid master (enter) fsmo maintenance: Seize pdc (enter) fsmo maintenance: Seizei frastructure master (enter) fsmo maintenance: quit (enter) ntdsutil: quit (enter)
DỊCH VỤ ROUTING 1.Giới thiệu Routing
Cấu hình Routing
- Cài đặt role Routing and Remote Access
Chuẩn bị : 4 máy Windows Server 2008 R2
Khai báo IP 4 máy như sau:
- Turn off fierwall trên 4 máy
- DC1 ping DC2 : ping OK
- DC2 ping DC3 : ping OK
- DC3 ping DC4 : ping OK
- DC1 ping DC4 : ping OK
2.1 Cài đặt Role Routing and Remote Access
Thực hiện trân máy DC2 và DC3
2.2 Cấu hình Static Route : thực hiện DC2 và DC3
B1 : mở theo hướng dẫn trong hình
B1 : mở theo hướng dẫn trong hình
Tại DC2 mở command line đánh lệnh Route
Print quan sát thấy tồn tại route
Mở Routing and Remote Access mở Static Route chọn Static Route 192.168.1.0 đã tạo nhấn phím Delete ra Command line đánh lệnh Route Print không có Route 192.168.1.0
- Tại DC3 : thực hiện tương tự : Xóa Route 172.16.1.0
Dùng giao thức động RIP : thực hiện DC2 và DC3
B1 : mở hương dẫn trong hình chuột phải lên General chọn
B2 : Chọn RIP version 2 for Internet Protocol
DỊCH VỤ NAT 1 Giới thiệu NAT /PAT
Cấu hình NAT OUTBOUND & INBOUND ON SERVER
- Cài đặt Role routing and remote access
Chuẩn bị : 3 máy Windows Server 2008 R2
Cài đặt Role Routing and Remote Access
Thực hiện trên máy DC2 :
Configure and enable Routing and remote access
B9 : Chọn Private interface connected to private network
Thực hiện tương tự cho Interface:
B12 :Chọn Public interface connected to the interface và
Enable NAT on this interface OK
- Thực hiện trên máy DC2
- Mở IE truy cập thử trang wed của
NAT chuột phải lên card LAN
B4 : chuột phải lên DC3 chọn
DC3 truy cập website của PC 01 bằng IP card Lan của PC 02: http://
Bài tập nâng cao
DỊCH VỤ DHCP RELAY 1 Giới thiệu DHCP Relay Agent
Tại sao phải sử dụng DHCP relay agent
Khi giữa clients và DHCP server có nhiều mạng khác tương ứng với nhiều router khác thì cần phải cấu hình DHCP relay agent vì clients sử dụng địa chỉ broadcast để quảng bá yêu cầu cấp phát IP, khi gói tin gửi bằng broadcast đến Router thì sẽ bị loại bỏ, do vậy phải có cách để cho các router trung gian chấp nhập những gói tin broadcast này và gửi đến DHCP server, cách này chính là DHCP relay agent.
Nếu mỗi mạng chúng ta dựng lên 1 DHCP Server thì tốn kém và không cần thiết, việc bảo trì cũng như quản lý rất khó khăn.
Có thể cấu hình Router để các tín hiệu Broadcast đi qua nhưng việc này sẽ gây những rắc rối khi hệ thống mạng gặp trục trặc Thêm nữa là lưu lượng các các gói tín Broadcasd quá nhiều sẽ làm tắt nghẽn hệ thống mạng.
Ưu diểm của DCHP RELAY
- Phù hợp với các máy tính thường xuyên di chuyển giữa các lớp mạng.
- Kết hợp với hệ thống mạng không dây ( Wireless) cung cấp tại các điểm – Hotspot như: nhà ga, sân bay, khách sạn, trường học.
- Thuận tiện cho việc mở rộng hệ thống mạng.
Cơ chế hoạt động DHCP Relay Agent
Gồm 8 bước hoạt động DHCP relay
2.2 Client Broadcasts gói tin DHCP Discover trong nội bộ mạng.
DHCP Relay Agent trên cùng mạng với Client sẽ nhận gói tin đó và chuyển đến DHCP server bằng tín hiệu Unicast.
DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent một gói DHCP Offer
DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client Sau khi nhận được gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request.
DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển đến DHCP server cũng bằng tín hiệu Unicast.
7 DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent một gói DHCP ACK.
8 DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client Đến đây là hoàn tất quy trình tiếp nhận xử lý và chuyển tiếp thông tin của DHCP Relay Agent.
Cấp phép (authorize)
Một DHCP service Bạn phải cấp phép (hay còn gọi là ủy quyền) một DHCP server trước khi nó có thể thực hiện việc cho DHCP client thuê địa chỉ IP Việc yêu cầu cấp phép cho các DHCP server sẽ ngăn chặn việc các DHCP server có khả năng cung cấp các địa chỉ IP không hợp lệ cho các client (hay còn gọi là DHCP giả mạo) trong nội bộ domain của chúng ta Để thực hiện được việc này bạn phải logon bằng user nằm trong group Enterprise Admins.
Theo mô hình trên, giả sử chúng ta có 2 Server chùng chạy dịch vụ DHCP (tạm gọi đó là DHCP Server1 và DHCP Server2) trong nội bộ domain của mình. Nhưng chỉ có duy nhất DHCP Server1 là được cấp phép chạy dịch vụ này Đầu tiên khi dịch vụ DHCP trên Server1 được kích hoạt (start) thì Server1 sẽ kiểm tra xem dịch vụ DHCP của mình có được Domain Controller cấp phép hoạt động hay không? Bằng cách gửi một yêu cầu đến máy chủ Domain Controller nhờ kiểm tra dùm mình có được phép cấp IP động cho nội bộ domain hay không.
Sau khi nhận được yêu cầu kiểm tra này từ phía DHCP Server1, Domain Controller sẽ tiến hành kiểm tra xem Server1 có được cấp phép hoạt động dịch DHCP hay không
Vì Server1 đã được cấp phép hoạt động dịch vụ DHCP nên Server1 được phép cung cấp địa chỉ IP động cho các DHCP client trong nội bộ domain
Ngược lại với Server1, Server2 sau khi khởi động dịch vụ DHCP cũng tiến hành nhờ Domain Controller kiểm tra Do không được cấp phép hoạt động dịch vụ, cho nên mặc dù dịch vụ đã được start nhưng Server2 vẫn không được phép cung cấp địa chỉ IP động cho nội bộ domain
Nếu DHCP server là không được authorize thì DHCP service sẽ log (ghi lại) một error trong system log (các bạn có thể tìm thấy trong Administrative Tools/Event log) Cuối cùng DHCP Client xin được IP từ DHCP Server1.
Level option của DHCP server
Phân biệt sự khác nhau giữa các level như server, scope, class và reserved client trong dịch vụ DHCP
+ Server level : các option khai báo ở cấp độ server sẽ được áp đặt tới tất cả các DHCP client của DHCP Server Đây là option có độ ưu tiên thấp nhất
+ Scope level : các option khai báo ở cấp độ scope sẽ được áp đặt tới tất cả các DHCP client của riêng scope đó mà thôi, các scope khác sẽ không chịu ảnh hưởng Đây là option có độ ưu tiên cao hơn option ở cấp độ server level
+ Class level : Các option khai báo ở cấp độ class level sẽ được áp đặt tới những thành viên của class Độ ưu tiên của các option này cao hơn option ở cấp độ scope level
Cài đặt và cấu hình DHCP Relay Agent
2.3 Cài đặt và cấu hình DHCP Relay Agent
2.1 Cài đặt và cấu hình DHCP server
- Cài đặt Role DHCP trên DHCP Server
- Cấu hình tạo Scope trên DHCP server
- Cấu hình thêm Scope Option trên DHPC server
- Cấu hình để Client nhận IP tự động từ DHPC server
- 2 máy kiểm tra đường truyền bằng lệnh Ping
- Máy DC1 cài đặt Wins
Cài đặt Role DHPC trên DHPC server
B6 : Giữ nguyên mặc định chọn next
Điền thông số về Range IP sẽ cấp phát cho
Khai báo các thông số trong Scope :
B3 : Thực hiện tương tự để tạo scope options : 006 DNS server trở về
nhập vào tại String value: khoaviet.edu.vn
Quan sát Scope option đã được tạo
Cấu hình để Client nhận IP tự động từ DHPC server
B1 : Mở Properties card mạng bỏ dấu chọn trước dòng
- _ Obtain and IP address automatically
_ Obtain DNS server address automatically
OK đóng cửa sổ properties của card mạng lại.
Line đánh lệnh ipconfig/ release
- Đánh lệnh ipconfig/all quan sát thấy PC1 đã nhận dược IP và các thông số khác được cấp tự động từ
Command Line đánh lệnh ipconfig/ all
Ghi nhận lại thông số của dòng physical Address:
B2 : PC1 mở DHPC trong Administrate toolschuột phải lên Resevations chọn New
B3 : điền thông số như trong hình
Lưu ý : MAC address điền thông số đã ghi nhận trên
- Tại PC1 đánh lệnh ipconfig/release và ipconfig/ renew để xin cấp IP mới, IP của PC1 được cấp luôn luôn là 172.16.1.100
2.2 Cài đặt cấu hình DHCP Relay
Giới thiệu : bài lab bao gồm nội dung chính sau
- Cấu hình DHCP Relay Agent trên DC2
- Cấu hình để máy Client nhận IP từ DHCP server
- Đặt IP cho 3 máy theo bảng sau :
- DC1 cấu hình Lan routing
- Cả 3 máy tắt Firewall, PC1 ping DC2: OK, DC2 ping PC1 : OK
- DC2 : cài đặt DHCP Server và tạo scope cấp IP cho range
192.168.1.0/24 với scope options :003 Default gateway chỉ về
1 Cấu hình DHCP Relay Agent trên DC2
Tools chuột phải lên General trong
2 Cấu hình để máy Client nhận IP từ DHCP server
B1 : Chỉnh chế độ đặt IP về obtain ( xem lại bài DHCP )
B2 : Vào command line đánh lệnh
Client đã nhận được IP từ DHCP server
DỊCH VỤ VIRTUAL PRIVATE NETWORK 1 Tổng quan về VPN
Khái niệm vpn
Virtual Private Networks (VPN) hay gọi là mạng riêng ảo, nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí, nó cho phép bạn
118 mở rộng phạm vi mạng nội bộ (LAN) bằng cách sử dụng lợi thế của mạng Internet.
VPN cho phép tạo một mạng riêng ảo trên nền mạng Internet để có thể trao đổi dữ liệu và khai thác các dịch vụ trên mạng.
Dữ liệu truyền qua VPN được mã hóa
Công nghệ VPN chỉ rõ 3 yêu cầu cơ bản:
Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi.
Kết nối các chi nhánh văn phòng với nhau.
Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của tổ chức
Các mô hình VPN bao gồm:
Truy Cập từ xa (remote-Access)
Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau.
Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của họ Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại Các Truy Cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet.
Site-to-site VPN có thể thuộc một trong hai dạng sau:
Intranet VPN Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất.
Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Lợi ích của VPN
- Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet
- Giá thành rẻ, chỉ mất chi phí truy cập Internet thông thường
- Không hạn chế số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn
- Khả năng bảo mật cao
- Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập và hệ thống mạng riêng ảo trong mạng nội bộ
Cơ chế hoạt động của VPN
Server sẽ chịu trách nhiệm chính trong việc lưu trữ và chia sẻ dữ liệu sau khi mã hóa, giám sát và cung cấp hệ thống gateway để giao tiếp và xác nhận các tài khoản client trong khâu kết nối, trong khi client VPN, cũng tương tự như client của hệ thống LAN, sẽ tiến hành gửi yêu cầu – request tới server để nhận thông tin về dữ liệu chia sẻ, khởi tạo kết nối tới các client khác trong cùng hệ thống VPN và xử lý quá trình bảo mật dữ liệu qua ứng dụng được cung cấp.
VPN Tunneling: Đây chính là điểm khác biệt cơ bản nhất của VPN so với mạng LAN thông thường Các bạn có thể hình dung đây là 1 dạng đường hầm trong đám mây Internet mà qua đó, các yêu cầu gửi và nhận dữ liệu hoạt động.
Khi người dùng khởi tạo kết nối hoặc gửi dữ liệu qua VPN, giao thức Tunneling sẽ được sử dụng bởi mạng VPN (ví dụ như PPTP, L2TP, IPSec ) sẽ “gói” toàn bộ lượng thông tin này vào 1 package khác, sau đó mã hóa chúng và tiến hành gửi qua tunnel Ở những điểm cuối cùng của địa chỉ nhận, các giao thức hoạt động tương ứng của tunneling sẽ giải mã những package này, say đó lọc nội dung nguyên bản, kiểm tra nguồn gốc của gói tin cũng như các thông tin, dữ liệu đã được phân loại khác.
Việc phân loại Tunneling dựa trên nguồn gốc bắt đầu các kết nối Và qua đó, có 2 loại chính, đó là Compulsory và Voluntary Tunneling.
- Compulsory Tunneling thường được khởi tạo bởi Network Access
Server mà không yêu cầu thông tin từ phía người sử dụng Bên cạnh đó, các client VPN không được phép truy xuất thông tin trên server VPN, kể từ khi chúng không phải chịu trách nhiệm chính trong việc kiểm soát các kết nối mới được khởi tạo Compulsory Tunneling sẽ hoạt động ngay lập tức giữa server và client VPN, đảm nhận chức năng chính trong việc xác nhận tính hợp pháp của tài khoản client với server VPN.
- Voluntary Tunneling thì khác, được khởi tạo, giám sát và quản lý bởi người dùng Không giống như Compulsory Tunneling – thường được quản lý bởi các nhà cung cấp dịch vụ, mô hình này yêu cầu người dùng trực tiếp khởi tạo kết nối với đơn vịISP bằng cách chạy ứng dụng clien VPN Chúng ta có thể sử dụng nhiều phần mềm client VPN khác nhau để tạo các tunnel có tính bảo mật cao đối với từng server VPN riêng Khi chương trình client VPN định thiết lập kết nối, nó sẽ tiến hành xác định server VPN hoặc do người dùng chỉ định Voluntary
Tunneling không yêu cầu quá nhiều, ngoại trừ việc cài đặt thêm giao thức tunneling trên hệ thống của người dùng.
Giao thức sử dụng VPN
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol)
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại
121 mạng VPN truy cập từ xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ PPTP (Point-to-Point
Tunneling Protocol) VPN là công nghệ VPN đơn giản nhất, sử dụng kết nối
Internet được cung cấp bởi ISP để tạo tunnel bảo mật giữa client và server hoặc client và client PPTP là ứng dụng dựa trên hệ thống VPN, có thể các bạn cũng biết rằng Windows đã tích hợp sẵn chức năng PPTP bên trong, và tất cả những gì cần thiết để kết nối tới hệ thống VPN chỉ là 1 phần mềm hỗ trợ VPN client. Mặc dù PPTP không một số cơ chế bảo mật để đảm bảo luồng thông tin, dữ liệu (Point to Point Protocol đảm nhận việc này với PPTP), thì Windows, về mặt cơ bản đã tiến hành xác nhận và mã hóa với PPTP để mã hóa các package trước đó Ưu điểm của mô hình này là không yêu cầu thêm phần cứng hỗ trợ bên ngoài để triển khai, và hệ thống client có thể sử dụng các phần mềm được cung cấp để kết nố tới server VPN Tuy nhiên, nhược điểm của hệ thống kiểu này là dựa trên giao thức Point to Point để tăng thêm tính bảo mật đối với các gói dữ
122 liệu, do vậy trước khi những package này bắt đầu “đi qua” tunnel thì chúng vẫn có thể bị xâm nhập từ các nguồn gốc bên ngoài.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn -
L2TP - Layer to Tunneling Protocol để tích hợp thêm dữ liệu, cũng giống như PPTP không cung cấp thêm cơ chế mã hóa thông tin mà dựa vào PPP – Point to Point Protocol để mã hóa các lớp dữ liệu khác nhau L2TP tunneling sẽ gán thêm dữ liệu L2TP header vào lớp payload nguyên gốc, sau đó chuyển tới điểm cuối cùng trong sơ đồ UDP Bên cạnh giao thức Point to
Point, tính năng bảo mật, xác nhận tài khoản có thể được thực hiện qua việc áp dụng IPSec trong tầng network.
SSH (Secure Shell) Tunneling sử dụng các giao thức shell bảo mật để tạo riêng tunnel để truyền dữ liệu từ điểm này tới điểm khác Ưu điểm lớn nhất của việc sử dụng tunneling dựa trên SSH là có thể dễ dàng “đi qua” - bypass hệ thống firewallcủa Internet Thông thường, các tổ chức (có nhu cầu bắt buộc nhân viên sử dụng proxy server cố định để truy cập website và tài liệu riêng) sử dụng giao thức SSH để điều hướng toàn bộ traffic từ server dedicate Có đôi chút khác biệt so với SSLdựa trên VPN, tại đây giao thức HTTPS bắt đầu có hiệu lực trên các ứng dụng, hệ thống quản lý, trình duyệt web để bảo mật quá trình truyền dữ liệu giữa các thiết bị bên ngoài tới hệ thống mạng VPN đã được thiết lập, thì chỉ có 2 giao thức HTTPS được yêu cầu để khởi tạo kết nối giữa 2 điểm đầu cuối với nhau.
Các gói dữ liệu “đi qua” IPSec sẽ được mã hóa bởi AES, DES hoặc
3DES Bên cạnh đó còn cung cấp thêm chức năng nén dữ liệu và xác nhận tài khoản đối với từng lớp network khác nhau Kỹ thuật IPsec VPN sử dụng chế độ tunnel thay vì transport Trước khi gửi dữ liệu, hệ thống sẽ tiến hành “đóng gói” package IP vào 1 package IP mới, sau đó gán thêm 1 lớp IP header, đi kèm với ESP header để cải thiện tính bảo mật.
Cấu hình VPN Client to Site
Giới thiệu : bài lab bao gồm những nội dung chính sau:
1 Cấu hình VPN Server bằng giao thức PPTP
2 Tạo user để VPN Client kết nối vào VPN Server
4 Cấu hình VPN server bằng giao thức L2TP
- Cài đặt Role Routing and Remote Access trên DC2
- Đặt IP cho các máy theo bảng sau:
Cấu hình VPN Server bằng giao thức PPTP
Tools Routing and Remote access, chuột phải lên DC2, chọn Configure and
Enable Routing and Remote Access
B3 : Màn hình configuration, chọn custom configurationnex t
Configuration, đánh dấu chọn vào 2 ô : VPN access &
B6 : Qua tab IPv4 , chọn Static Address
Range , nhập vào dãy địa chỉ sau :
Tạo user để VPN Client kết nối vào VPN Server
Ang Group , tạo user sau : user name : vpn, password : 123456 – lưu ý : bỏ dấu check ở tùy chọn User must change password at next log on
Dial-in, bên dưới mục
VPN ), đánh dấu chọn vào ô Allow Access
B1 : Vào control panel network and sharing center Set up a connection or network
Connect Use my internet connection
Address, nhập vào IP Lan của
Name, đặt tên cho kết nối,
B6 : Màn hình tiếp theo, nhập vào user name và password của user vpn
Quá trình tạo kết nối thành công
Settingchuột phải vào VPN connection vừa tạo, nhấn
B8 : nhập vào username và password của vpn Connect
Kết nối thành công Kiểm tra : mở CMD, gõ lệnh
ALL, thấy đã nhận IP từ VPN server
Lần lượt ping đến các địa chỉ trong mạng nội bộ :
1 địa chỉ Ip nằm trong dãy
Máy DC3 và DC1 liên lạc được với nhau
Details, thấy mục Device name : PPTP, như vậy VPN đang kết nối bằng giao thức
Cấu hình VPN Server bằng giao thức L2TP
And Remote Access chuột phải vào DC2 chọn Properties
Security, đánh dấu chọn vào mục
L2TP connection, mục Preshered key
DC2, chọn All taskRestart
Thực hiện tại máy DC3
Connection, chuột phải vào VPN connection, chọn
- Qua Tab Security bên dưới mục Type
L2TP/IPsec VPN, bên dưới chọn
- Mục IPsec Settings, chọn Use preshared key for authentication
- Chuột phải vào VPN connection, chọn
- Kiểm tra status,lúc này VPN kết nối bằng giao thức
Cấu hình VPN Site to Site
Giới thiệu : bài lab bao gồm những nội dung chính sau:
- Cấu hình VPN server dùng giao thức PPTP
- Cấu hình VPN server dùng giao thức L2TP
Chuẩn bị : 4 máy Windows Server 2008 R2
- Đặt IP cho các máy tính theo bảng sau :
- Cài đặt rule routing and remote access, trên DC2 và DC3
- Trên máy DC2 , tạo User : saigon, Password :saigon Chuột phải vào user saigon , chọn properties qua tab Dial –in, bên dưới mục Remote Access đánh dấu chọn vào ô Allow access OK
- Tương tự trên máy DC3, tạo user : vungtau , password : vungtau, chuột phải vào user vungtau, chọn propertiesqua tab Dial –in dưới mục Remote Access Permission ( Dial –in or VPN ) , đánh dấu chọn vào ô
Cấu hình VPN server dùng giao thức PPTP
Access, chuột phải lên DC2 , chọn
Configure and enable routing and remote access
Configuration, đánh dấu chọn vào 3 ô :
Interface Name gõ “ vungtau” vào ô
Lưu ý : interface name phải trùng với username đã tạo ra ở phần chuẩn bị
đánh dấu chọn vào Connect using virtual PRIVATE network (VPN)
B8 : Màn hình VPN type, chọn Point to
Address gõ địa chỉ IP của máy DC3 là 192.168.1.20 vào ô Host name or IP address
Ptotocol and security, giữ nguyên như mặc định next
Static Route, cấu hình như sau :
Credentials, nhập vào những thông tin sau :
B14 : Quay lại màn hình Routing And
Remote Access, chuột phải vào DC2, chọn Properties
B15 : Qua tab IPv4, chọn Static
New Ipv4 address rangs nhập vào dãy
Routing and remote access, chuột phải lên DC2
B Máy DC3 : lặp lại các bước của phần A cấu hình VPN server trên máy DC2 cho máy DC3, thay đồi các thông tin sau:
- Tại bước khai báo Interface, Interface Name : saigon
- Tại bước khai báo Dial Out Credentials :
- Tại bước tạo Static Routes :
- Tại bước tạo Static address pool :
Ping địa chỉ IP máy
Qua mục Ports , sẽ thấy kết nối dạng
- Nhận xét : 2 site saingon và vungtau đã kết nối thành công
Cấu hình VPN server bằng giao thức L2TP
B1 : Chuột phải vào connection vungtau, chọn Properties
Qua tab Security chọn Layer 2 tunneling …
Suthentication, khung key : nhập vào 123456 OK
B2 : Quay lại màn hình Routing And
Remote Access, chuột phải vào DC2, chọn Properties
Security, bên dưới đánh dấu chọn vào mục Allow custom
Remote Access chuột phải lên DC2
B Máy DC3 : thực hiện lại thao tác như trên DC2
CMD, gõ lệnh Ping địa chỉ IP máy DC4 là
Access, Connection vungtau , sẽ thấy connected
C Qua mục Ports, sẽ thấy kết nối dạng L2TP và Status là Active
